- 综合排序
- 最热优先
- 最新优先
- 来自专栏公共互联网反网络钓鱼(APCN)
Salesforce定向钓鱼攻击溯源与防御机制研究
尽管已有研究关注通用钓鱼检测[1]或OAuth滥用[2],但针对Salesforce这类特定SaaS平台的深度攻击链分析仍显不足。 现有防御机制多集中于终端用户教育或简单URL黑名单,难以应对具备动态域名生成、HTTPS伪装及反沙箱能力的现代钓鱼基础设施。因此,亟需从攻击者视角出发,解构其技术栈,并构建可落地的主动防御体系。 谷歌揭开Salesforce网络钓鱼诈骗幕后的黑客身份2 攻击手法与技术特征分析2.1 攻击流程概述“CloudHarvest”攻击遵循典型的APT式钓鱼流程,可分为四个阶段:目标侦察、诱饵投递、凭证窃取与横向利用 5.3 防御效果模拟在测试环境中部署强制MFA+CAAC策略,模拟1,000次钓鱼凭证尝试登录:无防护:986次成功;仅MFA:12次成功(攻击者未获取第二因子);MFA+CAAC:0次成功。 证明纵深防御可完全阻断此类攻击。6 结语本文以谷歌TAG披露的Salesforce定向钓鱼事件为切入点,系统剖析了现代SaaS钓鱼攻击的技术演进与运营模式。
28610编辑于 2025-11-23 - 来自专栏公共互联网反网络钓鱼(APCN)
密钥认证机制对钓鱼攻击的防御效能研究
摘要近年来,网络钓鱼攻击持续演化,传统双因素认证(Two-Factor Authentication, 2FA)机制在面对高级社会工程与中间人攻击时暴露出显著脆弱性。 关键词:密钥;Passkeys;钓鱼攻击;WebAuthn;FIDO2;双因素认证;网络安全1 引言身份认证作为信息系统安全的第一道防线,其可靠性直接决定了用户账户与数据资产的安全边界。 2023年至2025年间,多起高调钓鱼事件表明,攻击者已能通过伪造登录页面、实时代理转发(如Modlishka、Evilginx等工具)或SIM交换(SIM swapping)等方式,绕过传统2FA保护 这种“可代理性”使得钓鱼攻击在技术上完全可行。 5 攻击模型与防护效能评估5.1 钓鱼攻击模拟实验为量化密钥的防护效果,构建两类攻击场景:场景A(传统2FA):攻击者部署Evilginx2反向代理,实时转发用户在钓鱼页输入的账号、密码及TOTP/SMS
31410编辑于 2025-11-22 - 来自专栏公共互联网反网络钓鱼(APCN)
CapCut钓鱼攻击的技术机制与防御策略研究
研究表明,此类钓鱼攻击的成功依赖于对用户心理弱点的精准把握与对合法服务流程的高度模仿,唯有构建多层次纵深防御体系,方能有效遏制此类基于流行应用的品牌仿冒攻击。 本文旨在深入剖析CapCut钓鱼攻击的技术实现细节、攻击路径与社会工程策略,并在此基础上提出可操作的防御框架。 2 攻击流程与技术特征分析CapCut钓鱼攻击本质上是一种典型的“品牌仿冒+凭证窃取”型钓鱼攻击,其攻击链可分为两个紧密衔接的阶段:社会工程诱导阶段与凭证收集阶段。 4 防御策略探讨针对CapCut钓鱼攻击,单一防御措施难以奏效,需构建覆盖用户行为、应用开发与平台治理的多层次防御体系。4.1 用户层面:提升安全意识与操作习惯用户是防御链条的第一环。 防御此类攻击不能仅依赖技术手段,而需用户、开发者与平台协同构建纵深防御体系。
33010编辑于 2025-11-27 - 来自专栏公共互联网反网络钓鱼(APCN)
ClickFix钓鱼攻击的演化机制与防御体系构建
通过构建基于FIDO2无密码认证、邮件网关深度检测、用户行为遥测反馈及标准化自助导航路径的四维防护模型,有效降低ClickFix类攻击的成功率。 (2)合法云存储滥用将钓鱼页面托管于OneDrive、Google Drive或Dropbox等可信域名下。例如,攻击链接可能为:https://onedrive.live.com/redir? Proofpoint数据显示,Amazon占CoGUI攻击的61%。实时会话代理:部分高级攻击采用反向代理(如Modlishka、Evilginx2),在用户与真实服务间建立透明代理。 FIDO2标准通过公钥加密实现无密码登录,私钥绑定设备硬件(如TPM、Secure Enclave),即使用户误入钓鱼站,也无法导出会话密钥。 特别地,在启用FIDO2的部门,0起凭据被盗事件发生,验证了认证层改革的根本性作用。6 结论ClickFix钓鱼攻击的激增并非偶然,而是攻击者对人类认知弱点与现有防御盲区的精准利用。
29410编辑于 2025-12-04 - 来自专栏公共互联网反网络钓鱼(APCN)
云邮箱钓鱼攻击趋势与企业防御体系重构
关键词:云邮箱;钓鱼攻击;身份安全;FIDO2;条件访问;内容隔离1 引言企业邮箱作为组织数字身份的核心载体,长期处于网络安全攻防对抗的前沿。 本文聚焦于云邮箱钓鱼攻击的技术本质与防御失效根源,旨在回答以下核心问题:(1)当前钓鱼攻击如何利用云平台特性提升欺骗性?(2)为何现有安全控制措施在身份层存在结构性漏洞? 2 攻击技术演进:从广撒网到精准诱骗2.1 社会工程话术的平台适配早期钓鱼邮件常使用“账户异常”“安全警告”等通用话术,但随着用户安全意识提升,此类模板识别率显著提高。 (2)线程劫持(Thread Hijacking):攻击者监听公开论坛或GitHub Issue中企业员工的邮件地址,随后伪造同一邮件主题下的回复,插入钓鱼链接。 6 结论云邮箱钓鱼攻击已从广谱撒网转向精准打击,其核心在于利用平台原生功能构建可信上下文,并通过技术手段绕过传统防御。单纯依赖邮件过滤或用户教育已不足以应对。
27810编辑于 2025-12-19 - 来自专栏公共互联网反网络钓鱼(APCN)
Tycoon 2FA 钓鱼套件的 AitM 攻击机制与防御对策研究
本文基于公开技术分析与逆向工程成果,系统剖析 Tycoon 2FA 的攻击链路、技术实现细节及其规避检测机制,并结合实际攻防场景提出多层次防御策略。 研究表明,仅依赖 OTP 类 MFA 已不足以抵御具备实时会话代理能力的高级钓鱼攻击;需引入设备绑定、FIDO2/WebAuthn、连续认证及网络层异常检测等纵深防御措施,方可有效遏制此类威胁。 然而,自 2023 年 8 月起,一种名为 Tycoon 2FA 的钓鱼工具包迅速在地下市场扩散,并被多个威胁组织用于针对企业高管、财务人员及 IT 管理员的定向攻击。 5 防御对策建议面对 Tycoon 2FA 这类 AitM 钓鱼攻击,传统 MFA 已显不足。需构建纵深防御体系,从身份、设备、网络与行为四个维度协同防护。 唯有持续演进防御策略,方能在高级钓鱼威胁面前守住身份安全的最后一道防线。编辑:芦笛(公共互联网反网络钓鱼工作组)
31310编辑于 2025-12-17 - 来自专栏公共互联网反网络钓鱼(APCN)
伪装2FA验证的MetaMask钓鱼攻击机制与防御策略研究
然而,其广泛使用也使其成为网络钓鱼攻击的重点目标。本文聚焦于2025年末至2026年初出现的一类新型钓鱼攻击:攻击者通过伪造双因素认证(2FA)流程,诱导用户在仿冒页面中主动提交助记词或私钥。 全文结构如下:第二部分详述攻击链各环节;第三部分分析攻击成功的关键因素;第四部分提出技术性防御方案并给出可执行代码;第五部分讨论防御体系的部署可行性与局限;第六部分总结研究发现。 (2) 攻击机制剖析该钓鱼攻击可分解为四个连续阶段:初始接触(Initial Contact)、信任建立(Trust Establishment)、交互诱导(Interaction Induction) (4) 多层次防御策略与技术实现针对上述攻击链,本文提出四层防御体系,并提供可集成的技术方案。(4.1) 用户端:强化前端识别能力建议用户安装支持自定义规则的反钓鱼扩展。 因此,单一措施不足以根除风险,必须形成“教育+技术+架构”三位一体的纵深防御。(6) 结语伪装2FA验证的MetaMask钓鱼攻击代表了社会工程与前端仿冒技术的深度融合。
18310编辑于 2026-01-22 - 来自专栏公共互联网反网络钓鱼(APCN)
实时交互型钓鱼套件驱动的语音钓鱼攻击机制与防御研究
针对该威胁,本文提出了一套基于零信任架构的纵深防御策略,重点探讨了FIDO2/WebAuthn无密码认证技术的抗钓鱼机理、基于行为生物特征的异常检测模型以及组织层面的安全意识重塑方案。 关键词:语音钓鱼;实时交互钓鱼套件;多因素认证绕过;会话劫持;FIDO2;零信任1 引言在网络安全防御体系不断演进的当下,多因素认证(MFA)已成为保护企业核心资产和用户身份的标准配置。 2 实时交互型钓鱼套件的技术架构与运作机理2.1 双通道协同攻击模型新型Vishing攻击的本质是建立了一个“语音 - 网络”双通道协同的攻击闭环。 5 基于零信任与抗钓鱼技术的防御体系构建面对实时交互型Vishing攻击的挑战,必须摒弃传统的边界防御思维,转向基于零信任架构的纵深防御体系。 攻击者无法获取签名数据,自然也无法中继到真实服务器。因此,FIDO2天生具有抗钓鱼(Phishing-Resistant)特性,能够有效阻断包括实时交互型在内的所有钓鱼攻击。
28610编辑于 2026-02-28 - 来自专栏公共互联网反网络钓鱼(APCN)
金融行业网络钓鱼攻击演化与防御体系构建研究
为回答上述问题,本文将结合实证数据分析、攻击建模、机器学习与欺骗防御技术,提出一个端到端的防御框架,并通过代码原型验证关键技术模块的可行性。2. 2.2 攻击载体多元化:超越传统邮件链接传统钓鱼依赖伪造登录页面和诱导点击的超链接。而当前攻击呈现三大新趋势:QR码钓鱼(Quishing):Mimecast在Q2检测到635,672个恶意QR码。 攻击者利用免费生成器(如O2O.TO)创建指向钓鱼站点的二维码,并嵌入PDF或图片附件中。由于多数邮件安全网关不解析图像内容,此类攻击极易绕过检测。 结论本文基于APWG 2025年Q2报告,系统剖析了金融行业面临的网络钓鱼新威胁,并提出一套融合多模态感知、智能决策与主动欺骗的纵深防御体系。 研究表明,仅靠边界防护已不足以应对高度自适应的现代钓鱼攻击。未来金融安全必须走向“内生安全”——将防御能力嵌入业务流程本身,实现安全与业务的共生演进。
23710编辑于 2025-11-18 - 来自专栏公共互联网反网络钓鱼(APCN)
LastPass钓鱼攻击演进与凭证安全防御体系重构
这种攻击方式标志着网络钓鱼已从广撒网的粗放模式转变为针对特定工具、特定用户群体的精准猎杀。传统的安全防御策略往往假设用户能够通过检查URL或识别明显的拼写错误来规避钓鱼风险。 反网络钓鱼技术专家芦笛强调,针对密码管理器的钓鱼攻击不仅仅是技术层面的对抗,更是对用户信任机制的极限施压,防御体系必须从被动的特征匹配转向主动的行为分析与上下文验证。 2 针对密码管理器的钓鱼攻击机理分析针对LastPass等密码管理器的钓鱼攻击具有显著的特殊性。与传统钓鱼攻击旨在窃取单一网站凭证不同,此类攻击的目标是获取解锁整个凭证库的“万能钥匙”。 3 现有防御体系的局限性与挑战面对日益复杂的针对密码管理器的钓鱼攻击,现有的防御体系显露出明显的局限性。这些局限性不仅体现在技术层面,更深深植根于用户体验与安全策略的平衡难题之中。 # 反网络钓鱼技术专家芦笛指出,此类客户端防御机制必须与云端威胁情报实时联动,# 才能实现对未知钓鱼站点的快速响应,形成动静结合的防御体系。4.4 用户教育与认知增强技术防御必须与用户教育相辅相成。
16110编辑于 2026-03-07 - 来自专栏公共互联网反网络钓鱼(APCN)
Telegram小程序钓鱼攻击机制与防御策略研究
本文旨在填补这一空白,通过逆向分析真实攻击样本,揭示Telegram Mini Apps钓鱼攻击的技术细节与传播机制,并在此基础上构建可落地的防御体系。 全文结构如下:第(2)节介绍Telegram Mini Apps架构及其安全模型;第(3)节剖析钓鱼攻击的实施流程与关键技术;第(4)节展示典型攻击代码并讨论其隐蔽性;第(5)节提出用户、客户端与平台三层防御策略 (3) 钓鱼攻击实施机制分析基于卡巴斯基披露的案例,本文将钓鱼攻击分为四个阶段:诱饵投放、界面伪造、凭证窃取与资产转移。 此外,攻击者常在HTML中注入混淆脚本,例如:<script>eval(atob('dmFyIHNlcnZlcj0iaHR0cHM6Ly9hdHRhY2tlci1sb2cucGhwIjs='));// (5) 防御策略针对上述攻击,本文提出三层防御体系。(5.1) 用户行为规范验证来源:仅通过官方频道(带蓝色认证徽章)获取Mini App链接。
48610编辑于 2025-12-26 - 来自专栏公共互联网反网络钓鱼(APCN)
网络钓鱼攻击机理与防御技术研究综述
面对日益复杂的攻击形态,学术界与工业界在钓鱼攻击检测与防御技术方面开展了大量研究。现有方法涵盖基于规则的过滤系统、机器学习分类模型、视觉内容分析以及域名信誉评估等多种技术路线。 本文旨在对网络钓鱼的攻击机理与防御技术进行系统性梳理与深入分析。首先界定网络钓鱼的基本概念与典型攻击流程,继而归纳其主要类型与演化趋势。 2 网络钓鱼的攻击机理与演化2.1 基本概念与攻击流程网络钓鱼(Phishing)一词源于“fishing”(钓鱼)与“phone phreaking”(电话黑客)的合成,最早可追溯至20世纪90年代美国在线 3 网络钓鱼防御技术分类与分析为应对日益复杂的钓鱼攻击,研究者提出了多种防御技术,可大致分为客户端防护、网络层检测与云端分析三大类。其中,钓鱼网站检测作为核心环节,主要依赖以下几类技术路径。 6 结语网络钓鱼作为长期存在的网络安全威胁,其技术手段不断演进,对现有防御体系构成持续挑战。本文系统梳理了钓鱼攻击的机理、类型与技术发展路径,并对主流防御技术进行了分类与评估。
55810编辑于 2025-10-20 - 来自专栏公共互联网反网络钓鱼(APCN)
高级OAuth钓鱼攻击的演化机制与防御体系构建
全文结构如下:第二部分回顾OAuth 2.0授权码模式及其典型部署;第三部分详述高级OAuth钓鱼的攻击向量与技术手法;第四部分提出分层防御策略并辅以代码实现;第五部分讨论实施挑战与未来方向;第六部分总结全文 这些因素共同构成了高级OAuth钓鱼的温床。3 高级OAuth钓鱼攻击机制分析3.1 攻击载体:PhaaS套件的模块化演进Tycoon与EvilProxy代表了当前PhaaS工具的典型架构。 随后,构造钓鱼邮件,内嵌伪装为文档共享通知的链接,指向该应用的授权URL:https://login.microsoftonline.com/common/oauth2/v2.0/authorize? 此类手法极大提升了钓鱼邮件的送达率与点击率。4 防御体系构建针对上述攻击,单一控制措施难以奏效。本文提出三层防御模型:策略层(预防)、检测层(识别)、响应层(遏制)。 6 结语高级OAuth钓鱼攻击标志着身份安全威胁从凭证层向授权层的迁移。其本质并非协议缺陷,而是对信任机制的滥用。有效防御需超越传统边界防护思维,转向以身份为中心的零信任架构。
31910编辑于 2025-12-13 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼攻击低谷期的战术潜伏与防御前瞻
关键词:钓鱼攻击;战术潜伏;Tycoon 2FA;MFA绕过;会话劫持;无密码认证;情报驱动防御;隐蔽基础设施1 引言网络安全态势评估常依赖量化指标,如恶意软件检出量、钓鱼域名注册数或用户举报事件。 然而,该指标无法反映攻击复杂度与潜在影响。一次成功的Tycoon 2FA攻击可导致整个M365租户沦陷,其危害远超百次普通钓鱼。 Tycoon 2FA攻击,验证防御体系有效性。 泄露;防御场景2:强制FIDO2 → 即使凭证泄露,攻击者无法完成认证;防御场景3:会话绑定IP → 攻击者从境外IP使用会话被自动拒绝。 结果表明,综合防御措施可将攻击成功率从98%降至2%以下。7 结论钓鱼事件数量的短期下降不应被解读为威胁缓解,而更可能是攻击者进入战术潜伏期的信号。
26010编辑于 2025-12-17 - 来自专栏公共互联网反网络钓鱼(APCN)
.arpa顶级域名滥用机制与钓鱼攻击防御体系重构
与传统利用.com、.net或仿冒品牌域名(如g00gle.com)的攻击不同,.arpa相关的钓鱼攻击利用了防御体系中的逻辑盲点。 这种预设的信任逻辑导致了防御的第一道防线形同虚设。反网络钓鱼技术专家芦笛强调,这种“因稀缺而可信”的逻辑在对抗环境中是致命的,攻击者正是利用了防御者对冷门资源的忽视,构建了隐身通道。 4 .arpa钓鱼攻击的深度检测技术与防御架构面对.arpa域名滥用带来的新挑战,必须重构防御体系,从单纯的“黑名单过滤”转向“上下文感知”与“行为分析”相结合的深度防御模式。 伪造的.home.arpa链接 (内网钓鱼) url2 = "http://login.home.arpa/signin" print(f"Analyzing: {url2}") res2 5 结论.arpa顶级域名的滥用标志着网络钓鱼攻击正向着更深层次的协议领域渗透。攻击者利用基础设施域名的特殊地位和用户的认知盲区,成功绕过了传统的基于信誉和特征的防御体系。
16210编辑于 2026-03-06 - 来自专栏公共互联网反网络钓鱼(APCN)
网络钓鱼攻击的机理分析与综合防御策略研究
研究表明,单一技术手段难以有效遏制钓鱼攻击,唯有构建“人—技—管”三位一体的纵深防御框架,方能显著提升整体安全韧性。本研究为应对日益智能化、精准化的网络钓鱼威胁提供了理论支撑与实践参考。 本文旨在通过对网络钓鱼攻击原理的系统性解析,结合现有防御技术的局限性评估,提出具有可操作性的综合防护对策,以期为提升网络空间安全治理能力提供理论依据与实践路径。 五、网络钓鱼的防御策略与技术手段面对日益复杂的钓鱼威胁,单一防御手段已难奏效。应构建集技术防控、管理制度与人员教育于一体的多层次防御体系,实现纵深防护。 双因素认证(2FA)与多因素认证(MFA)强制关键系统启用MFA,即使密码泄露,攻击者也无法仅凭凭证登录。 六、结语网络钓鱼作为一种依托人性弱点的非对称攻击方式,其威胁具有持久性与普遍性。尽管技术防御手段不断进步,但攻击者始终在寻找新的突破口。
54110编辑于 2025-10-20 - 来自专栏公共互联网反网络钓鱼(APCN)
Calendly主题钓鱼攻击机制与企业防御体系研究
本文通过逆向分析典型攻击样本,还原其技术栈与交互逻辑,并提出涵盖邮件安全网关、终端行为监控、URL验证缓冲区及FIDO2无密码认证的纵深防御框架。 本文旨在系统解析该攻击的技术实现路径、规避策略与社会工程逻辑,并在此基础上构建可落地的多层次防御体系,为企业应对下一代钓鱼威胁提供技术参考与实践指导。 2 攻击链结构与关键技术分析2.1 初始诱饵:场景化邮件与品牌仿冒攻击的第一阶段是投递高度定制化的钓鱼邮件。 3 企业级防御体系构建面对上述高度自适应的攻击链,单一防御层已显不足。 3.4 推进无密码认证:FIDO2与安全密钥最根本的防御在于消除对会话令牌的依赖。
26110编辑于 2025-12-23 - 来自专栏公共互联网反网络钓鱼(APCN)
基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略
本文聚焦于近期被披露的一种新型钓鱼攻击模式——电话导向型攻击交付(Telephone-Oriented Attack Delivery, TOAD),该攻击利用 Entra B2B 的合法访客邀请机制, 关键词:Entra ID;B2B 协作;TOAD 攻击;社会工程;身份安全;Azure AD;钓鱼防御1 引言企业数字化转型加速了对云身份服务的依赖,微软 Entra ID 已成为全球数百万组织的核心身份基础设施 该机制设计初衷在于简化协作流程,但其开放性也为攻击者提供了可乘之机。2024 年底,安全研究人员披露了一起针对 Entra B2B 邀请功能的新型钓鱼活动。 一旦拨号,攻击者通过预设话术(如“为验证身份,请安装远程协助工具”)诱导用户交出控制权。4 防御策略设计针对此类攻击,单一技术手段难以奏效,需构建纵深防御体系。 7 结语微软 Entra B2B 邀请功能遭滥用所引发的 TOAD 钓鱼攻击,代表了云时代身份安全的新挑战。其本质并非技术漏洞,而是治理缺失。
19900编辑于 2025-12-20 - 来自专栏公共互联网反网络钓鱼(APCN)
Solana钓鱼攻击中Owner权限滥用机制与防御体系研究
2024年末至2025年初,多起针对Solana用户的钓鱼攻击事件造成数百万美元资产损失,其核心攻击手法在于诱导用户签署包含“Owner”字段变更的恶意交易,从而实现对账户控制权的静默转移。 本文旨在填补这一空白,从协议层、应用层与用户层三重视角,系统分析攻击成因,并构建可落地的主动防御体系。 5 主动防御框架设计为有效阻断此类攻击,需在用户授权前介入,构建“感知-解析-预警-阻断”四层防御体系。 Owner权限滥用型钓鱼攻击暴露了当前钱包与DApp在风险传达与权限管理上的严重不足。 本文通过技术拆解攻击链,揭示了协议设计、应用实现与用户认知之间的安全断层,并提出一套覆盖事前、事中、事后的主动防御框架。
21710编辑于 2025-12-22 - 来自专栏公共互联网反网络钓鱼(APCN)
金融主题钓鱼攻击的演化特征与防御机制研究
本文旨在系统剖析当前金融主题钓鱼攻击的运作逻辑与技术栈,从攻击链视角拆解其从诱饵构造、交付、交互到数据回传的完整流程,并据此提出兼顾技术可行性与组织适配性的综合防御框架。 全文结构如下:第二部分梳理金融钓鱼攻击的典型场景与演化特征;第三部分深入技术实现细节,包括邮件伪造、前端仿冒与后端数据处理;第四部分构建三层防御模型并辅以可部署的代码示例;第五部分讨论防御体系的局限性与未来研究方向 (2)金融钓鱼攻击的典型场景与演化特征金融钓鱼攻击的成功高度依赖于对目标群体心理预期与操作习惯的精准把握。根据攻击对象与目的差异,可将其划分为面向个人用户的消费级攻击与面向企业的B2B攻击两类。 (4)三层防御体系构建鉴于金融钓鱼攻击的多维特性,单一防御手段难以奏效。本文提出覆盖通信层、业务流程层与用户认知层的三层防御模型。 本文通过拆解4万起攻击案例背后的技术逻辑,论证了单一防御措施的局限性,并提出通信层认证加固、业务流程重构与用户行为干预相结合的纵深防御框架。
20110编辑于 2025-12-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号